loader image
STOP AL PRIVACY SHIELD: le imprese italiane dicono addio a Google, FB & co.?

STOP AL PRIVACY SHIELD: le imprese italiane dicono addio a Google, FB & co.?

 

È questa la domanda che circola tra le imprese italiane ed europee, dopo la sentenza della Corte di Giustizia UE del Luglio scorso che ha posto fine al Privacy Shield, rendendo di fatto illegali tutti i trasferimenti di dati dall’Europa agli Stati Uniti.

Gli effetti della sentenza sono stati immediati e si sono tradotti in dubbi e quesiti concreti per chi fa impresa: posso ancora utilizzare Google Cloud per la mia azienda? Posso continuare a fare campagne di advertising con Facebook?

La buona notizia è che non si deve dire addio a questi servizi (sarebbe impensabile ad oggi, data anche la loro enorme diffusione).
Anche se sono necessari degli accorgimenti legali e tecnici di cui parlare.

Insomma, esistono già delle soluzioni da poter adottare, che sono state recentement indicate dagli organi istituzionali europei proprio in seguito alla caduta del Privacy Shield.

In questa news, cercheremo di fare quindi il punto della situazione, chiarendo quali passi deve fare un’azienda italiana per essere conforme alle leggi in materia, se intende continuare ad utilizzare i servizi digitali di Google o di altre aziende americane.

1. COSA FARE PER CONTINUARE AD INVIARE I DATI A GOOGLE E AGLI ATRI SERVIZI DIGITALI AMERICANI?

È innegabile che l’invalidazione del Privacy Shield stia creando enormi difficoltà ad imprese ed enti europei che trasferiscono dati con partner situati in territorio americano.
In particolare, tante sono le aziende italiane, anche fra le piccole e medie imprese, che si avvalgono di servizi digitali americani come Google Cloud o Facebook e che ora si vedono costrette a correre ai ripari per poter continuare a trasferire dati personali verso i server delle più note Big Tech.

Ecco allora cosa fare per tornare ad una situazione di conformità alle normative in materia di privacy.

A. IDENTIFICARE TUTTI I TRASFERIMENTI DI DATI PERSONALI VERSO GLI USA

Facciamo una breve premessa: non esiste solo Google.
All’interno dell’azienda potrebbe essere in uso un servizio di newsletter o di marketing automation americano, oppure l’app connessa al vostro core business ha i server allocati negli Stati Uniti.

Insomma, le variabili sono tante, per cui il primo passo è quello di effettuare una attenta ricognizione di tutti i trasferimenti di dati personali di dipendenti, clienti, fornitori, dall’Italia agli USA.

B. ADOTTARE LE CLAUSOLE CONTRATTUALI TIPO O UN’ALTRA MISURA DI GARANZIA

L’azienda italiana che vuole continuare a trasferire dati verso gli Stati Uniti dovrà avvalersi di una tra le misure di garanzie indicati dall’art. 46 GDPR (la normativa privacy europea).
Le più diffuse sono le cc.dd. clausole contrattuali tipo stipulate fra chi invia i dati (es. azienda italiana) e chi li riceve (es. Google).

Vi starete chiedendo: come posso contrattare con un gigante come Google o Facebook? È una lotta impari.
In realtà le grandi aziende americane stanno prendendo coscienza della situazione post-Privacy Shield dichiarando apertamente di aderire a tali clausole, che rappresentano uno standard di protezione e sicurezza stabilito dalla Commissione Europea, l’organo deputato ad emanarle e a revisionarle per eventuali aggiornamenti.

All’impresa italiana spetta quindi il compito di accertare che i trasferimenti di dati verso gli Stati Uniti siano protetti da tali clausole o altri strumenti di garanzia, consultando i termini dei loro servizi.

C. APPLICARE MISURE SUPPLEMENTARI

Oggi purtoppo la sola applicazione di clausole contrattuali tipo non basta più per legittimare il trasferimento di dati verso gli USA, perché la Corte di Giustizia Europea, con la sentenza del Luglio scorso (ne avevamo già parlato qui: LINK) chiede misure di garanzie supplementari

La ragione è legata ad aspetti non solo normativi, ma anche di natura politica. La normativa interna americana consente infatti all’intelligence l’accesso e il monitoraggio sui dati anche di cittadini europei, per finalità di sorveglianza la cui discrezionalità è così ampia da non garantire un livello di protezione adeguato ai cittadini UE

A nulla valgono le solo clausole contrattuali tipo (o altre misure di protezione di tipo contrattuale), perchè come tali vincolano solo le parti e non le autorità governative americane che restano liberi di superare – e quindi vanificare – quegli accordi, qualora decidano di attivare programmi di sorveglianza per motivi di sicurezza nazionale.

E’ quindi necessario adottare misure supplementari, volte a garantire ai dati trasferiti verso gli Stati Uniti un livello di protezione sostanzialmente equivalente a quello previsto dall’Unione Europea.

2. UN ESEMPIO DI TRASFERIMENTO DATI CON APPLICAZIONE DI MISURE SUPPLEMENTARI

Per capire meglio quanto detto sopra riportiamo un esempio che trae ispirazione dalle recentissime raccomandazioni 1/2020, emanate dall’European Data Protection Board, l’organo comunitario deputato, tra le altre, a fornire un indirizzo uniforme sull’applicazione del GDPR.

Questo, lo scenario: una clinica privata italiana utilizza un servizio di cloud computing per archiviare a scopo di backup dati personali fra cui sono ricompresi anche dati sanitari.

In questa situazione specifica, ci sono tutti i presupposti per l’implementazione di misure ulteriori a supporto delle clausole contrattuali tipo o di altri strumenti di garanzia.
La ragione risiede, prima di tutto, nella natura dei dati trattati, dal momento che i dati sanitari sono dati considerati sensibili e quindi meritevoli di una maggiore tutela.
Non dobbiamo inoltre dimenticare che anche la sola “messa a disposizione” o “conservazione” dei dati – attività tipiche dei servizi cloud – sono veri e propri trattamenti ai sensi della normativa privacy europea e dovranno essere valutati come tali agli occhi del titolare del trattamento che si affida a tali fornitori.

L’azienda italiana dovrà quindi applicare una misura di garanzia supplementare. Ad oggi non esiste un elenco ufficiale di queste misure. Quindi la scelta sul tipo di misura da adottare è tutta nelle mani dell’azienda, chiamata a scegliere l’opzione più adatta per il tipo di trasferimento effettuato.

Restando all’esempio precedente, si potrebbe fare affidamento ad un sistema di CRITTOGRAFIA, al fine di cifrare i dati personali, cioè renderli incomprensibili a chi non possiede le relative chiavi crittografiche.

Il sistema, oltre ad essere sicuro, si rivela molto adatto al caso specifico perchè l’archivio per fini di back-up dei dati non richiede l’accesso di quei dati in chiaro. L’unica finalità, appunto, è quello di avere una copia di dati che, in caso di necessità, riesca a supplire ad eventuali malfunzionamenti o violazioni dei server principali.

Vediamo allora quali sono i passaggi da seguire per attivare questa spicifica misura supplementare:

  1. UTILIZZARE UN SISTEMA DI CRITTOGRAFIA AVANZATO PRIMA DEL TRASFERIMENTO DI DATI. In particolare, la crittografia deve essere robusta a tal punto da arginare possibili critto-analisi e accessi da parte dell’intelligence americana.
  2. GESTIRE LE CHIAVI CRITTOGRAFICHE IN MODO AFFIDABILE. In particolare, solo l’azienda italiana (esportatrice dei dati) deve essere tenuto alla loro conservazione. Il motivo è chiaro: se le chiavi fossero in possesso anche dell’azienda americana (destinataria dei dati), si vanificherebbe ogni sforzo, perchè a quel punto l’Intelligence americana sarebbe titolata a ordinarne la consegna.

LA CONSULENZA DELLO STUDIO.

Dopo l’uscita delle Raccomandazioni dell’EDPB non è più rinviabile un adeguamento normativo dell’azienda per quanto concerne i trasferimenti di dati verso gli Stati Uniti.

Le Raccomandazioni dell’EDPB dettano infatti una linea chiara ed ora spetta all’aziende applicarle.

In questa fase complessa e delicata, lo Studio Legale Baldrati & Strinati offre la consulenza necessaria per scegliere le soluzioni più adatte ai singoli casi concreti, valutando quale sia l’opzione migliore anche in termini di efficacia, senza pregiudicare il flusso produttivo e commerciale che spesso fa perno su servizi digitali americani.

 

NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

Come noto, la Corte di Giustizia UE – con sentenza C-311/18 (Sentenza Schrems II) – ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy (c.d. Privacy Shield), quale meccanismo di autocertificazione delle aziende statunitensi che intendono ricevere dati dall’Unione Europea.

In sostanza, il Privacy Shield imponeva, a tutte le imprese USA che vi aderivano, una serie di obblighi inerenti la protezione dei dati personali. Lo scopo dichiarato dalla Commissione UE, promotrice dello scudo privacy, era quello di garantire un trasferimento di dati UE-USA sicuro e in linea con gli standard di protezione europei, qualora l’impresa americana destinataria dei dati ne avesse accolto i principi fondanti.

Il Privacy Shield poteva essere considerato una sorta di “bollino” certificatore che assicurava un livello adeguato di protezione dei dati di cittadini europei e allo stesso tempo permetteva alle imprese UE che trasferivano dati negli USA di essere conformi alla normativa privacy (GDPR), scegliendo quali destinatari di tali trasferimenti aziende statunitensi aderenti al Privacy Shield.

Proprio per questa ragione le più grandi corporation – a partire da Google e Microsoft – vi avevano aderito, rendendo così legittimo qualsiasi trasferimento di dati extra UE a loro favore.

La recente sentenza del 16 Luglio 20202 ha però letteralmente sconvolto questo sistema di garanzia, rendendo di fatto illegittimo qualsiasi trasferimento dei dati verso gli USA che si basava sul meccanismo del Privacy Shield.

La motivazione di questa decisione è complessa, ma proviamo a ridurla ad un principio di massima: la Corte di Giustizia ritiene che l’attuale sistema di controllo sui dati concesso alle autorità pubbliche statunitensi – in particolare per motivi di sicurezza nazionale – è così ingerente da contrastare con i principi di riservatezza e protezione dei dati personali europei (sanciti anche dalla Carta di Nizza).

La domanda legittima, che si stanno ponendo le aziende italiane ed europee, che si affidavano a sistemi cloud o servizi digitali di società statunitensi aderenti al Privacy Shield, è ovviamente: COSA DEVO FARE ORA PER TORNARE AD ESSERE CONFORME ALLA NORMATIVA PRIVACY EUROPEA?

Ci sembra utile rispondere a questa domanda prendendo a modello due macro-scenari, quello relativo ad una impresa già attiva e con una architettura digitale collaudata che si affidava in tutto o in parte alle garanzie del Privacy Shield, e quello invece afferente ad una impresa o start-up “in costruzione”, che sta progettando la sua realtà digitale.

1. IMPRESA ITALIANA IN COSTRUZIONE

Facendo tesoro del concetto di Privacy By Design, se siete ancora in fase di progettazione della struttura informatica su cui poggerà l’azienda, il consiglio è di affidarvi a SISTEMI CLOUD CON DATA CENTER IN UE, e di scegliere – per quanto possibile – servizi digitali europei.

Questo perchè la Sentenza Schrems II è una vera e propria dichiarazione di intenti: la volontà è quella di avviare un progetto di sovranità digitale europeo che favorisca le imprese europee del settore e in ogni caso, dopo questa sentenza, gli USA non sono più considerabili un Paese Terzo affidabile. Per cui è bene fin da ora orientarsi in una direzione che privilegi servizi e sistemi digitali europei, per eliminare qualsiasi problema alla radice.

2. IMPRESA ITALIANA CHE SI AFFIDAVA AL PRIVACY SHIELD

Siamo onesti, il primo pensiero – soprattutto per le imprese che lavorano nel digital – è per i servizi di GOOGLE.

Su questo punto, ci sentiamo di essere prima di tutto realisti. Google non potrà restare al palo, e di fatti l’azienda statunitense si sta già muovendo per rimediare agli effetti della Sentenza Schrems II, adottando le cc.dd. Clausole Standard, che rappresentano un altro strumento di garanzia alternativo.

In linea generale, andrà fatta una valutazione del rischio caso per caso, per capire quali e quanti dati dell’azienda sono trasferiti negli USA, oltre ad una considerazione dei meccanismi di sicurezza implementate dalle aziende statunitensi a cui ci affidiamo.

Restando sull’esempio di Google, una azienda italiana che profila gli utenti e raccoglie numerosi dati personali dei clienti, poggiando interamente sul cloud di Google con data center in USA, dovrà certamente porre in essere una migrazione dei dati verso sistemi cloud europei.
Diversamente, una società italiana che utilizza Google Analytics, con anonimizzazione dell’IP (quale funzione presente all’interno del servizio), e che si affida a sistemi cloud con data center europei, può dormire sonni tranquilli.

Nel mezzo c’è una vastità di scenari che andranno analizzati, mediante un attenta valutazione del rischio, nel segno del principio di accountability richiesto dalla normativa europea.

In questo senso, lo Studio Legale Baldrati & Strinati è attivo per fornire pareri legali alle imprese in ordine alle soluzioni logistiche da implementare – laddove necessarie – per tornare ad una situazione di piena conformità al GDPR, dopo gli effetti sconvolgenti della Sentenza Schrems II.